Generatore di password gratuito online

Cosa rende davvero forte una password

La forza di una password deriva dall'entropia, ovvero il numero di bit di casualità che un attaccante deve indovinare. L'entropia si calcola come log₂(dimensione_set ^ lunghezza): una password di 12 caratteri estratta uniformemente dai 94 caratteri ASCII stampabili ha circa 79 bit di entropia; una di 16 caratteri ne ha circa 105. Le linee guida moderne sulla sicurezza considerano resistente agli attacchi brute-force offline qualsiasi cosa sopra gli 80 bit, anche con hardware specializzato e per il futuro prevedibile. NIST SP 800-63B (l'attuale linea guida federale statunitense sull'identità digitale, pubblicata originariamente nel 2017 con revisioni fino al 2024) raccomanda esplicitamente la stessa cosa: minimo 8 caratteri, fino a 64 ammessi, tutti i caratteri Unicode stampabili inclusi gli spazi. Decisivamente, la stessa linea guida ribalta decenni di cattivi consigli sulle password, dice agli amministratori di smettere di richiedere la rotazione periodica della password, smettere di imporre regole di composizione come "deve contenere un simbolo" e iniziare a confrontare le nuove password con i corpus di violazioni (l'API Have I Been Pwned Pwned Passwords, di Troy Hunt 2018, è l'implementazione standard). Il consiglio pratico nel 2026: lunga, casuale, unica per account, conservata in un gestore di password.

Passphrase, la tradizione Diceware

Una passphrase è una password costruita con parole casuali invece che caratteri casuali. La tecnica è stata formalizzata da Diceware di Arnold G. Reinhold nel 1995, una lista di 7.776 parole inglesi corte e comuni, ciascuna con un indirizzo a 5 cifre ottenibile lanciando un dado (5⁵ = 7.776). Si lanciano cinque dadi, si cerca la parola, si ripete per tutte le parole desiderate. Sei parole Diceware danno circa 77 bit di entropia, l'equivalente di una password ASCII casuale di 12 caratteri ma molto più semplice da digitare e ricordare per un essere umano. La striscia XKCD #936 ("correcthorsebatterystaple", settembre 2011) ha reso il concetto largamente noto e ha spostato la cultura della sicurezza; gestori di password e progetti con default sicuri come Bitwarden, 1Password, KeePassXC e le liste aggiornate dell'EFF supportano tutti la generazione di passphrase. Il vantaggio non è la sicurezza, password basate su caratteri e quelle basate su parole con entropia equivalente sono ugualmente forti contro il brute force, è la facilità di digitazione. Una passphrase è il formato giusto quando devi davvero digitare la password (master password del gestore, password della cifratura del disco, qualsiasi cosa prima che il gestore di password completi automaticamente).

Perché la casualità conta, e la questione CSPRNG

La forza di una password presuppone che la password sia uniformemente casuale. Gli schemi che l'attaccante può prevedere, percorsi sulla tastiera (qwerty), date, parole del dizionario, sostituzioni l33t, distruggono l'entropia più velocemente di quanto suggerisca il conteggio dei caratteri. Hashcat e John the Ripper, gli strumenti standard per il cracking delle password, provano per primi milioni di schemi comuni; una password di 8 caratteri che usa uno di quegli schemi cade in pochi secondi. Questo generatore usa la Web Crypto API del browser, in particolare crypto.getRandomValues(), un generatore di numeri casuali crittograficamente sicuro (CSPRNG) che attinge dal pool di entropia del sistema operativo. A differenza di Math.random() (che è veloce ma prevedibile e non deve mai essere usato per la sicurezza), crypto.getRandomValues() è la stessa primitiva che il browser usa per generare le chiavi di sessione TLS. La casualità è adatta a qualsiasi scopo crittografico, password incluse.

Il complemento essenziale: usa un gestore di password

Generare password forti e uniche serve solo se hai dove conservarle. Il panorama dei gestori di password nel 2026: Bitwarden (Kyle Spearrin, 2016, open source, livello gratuito con upgrade a pagamento opzionale) è la scelta open source dominante. 1Password (AgileBits, fondata nel 2006) è l'opzione commerciale più rifinita. KeePassXC (fork comunitario di KeePass, completamente offline, vault basato su file) è la scelta per chi non si fida della sincronizzazione cloud. iCloud Keychain di Apple, Google Password Manager e il gestore password di Microsoft Edge sono i default senza attriti integrati in ogni piattaforma. Proton Pass (2023) è l'opzione più recente con focus sulla privacy dei creatori di Proton/ProtonMail. I gestori integrati nei browser sono il percorso a minore attrito; i gestori dedicati offrono migliore sincronizzazione cross-platform e funzioni aggiuntive. La raccomandazione del 2026: un qualsiasi gestore di password affidabile + una password generata unica per account + una master password forte e unica (l'unica password che devi davvero memorizzare) + una chiave di sicurezza hardware (YubiKey o simili) per gli account ad alto valore.

Quanto è forte la tua password?

La forza di una password dipende dalla lunghezza e dalla varietà dei caratteri. Una password di 12 caratteri con maiuscole e minuscole, numeri e simboli ha oltre 475 trilioni di combinazioni possibili, rendendola praticamente impossibile da craccare con forza bruta. Ogni carattere aggiuntivo moltiplica esponenzialmente la difficoltà. Il nostro misuratore di forza ti mostra esattamente quanto è sicura la tua password.

Domande frequenti

Questo generatore di password è sicuro?

Sì. Utilizziamo la Web Crypto API (crypto.getRandomValues) che fornisce numeri casuali crittograficamente sicuri. Nessuna password viene memorizzata, trasmessa o registrata. Tutto viene eseguito nel tuo browser.

Quale lunghezza di password dovrei usare?

Consigliamo almeno 16 caratteri per gli account importanti. Per la massima sicurezza (password master, chiavi di crittografia), usa 20-32 caratteri. Più lunga è la password, più è difficile da craccare.

Dovrei includere i simboli?

Sì, quando possibile. I simboli aumentano drasticamente il numero di combinazioni possibili. Tuttavia, alcuni siti web limitano quali caratteri puoi utilizzare. Se un sito rifiuta i simboli, deseleziona quell'opzione e aumenta la lunghezza per compensare.

Perché non dovrei mai riutilizzare le password?

Se un sito viene violato, gli aggressori provano la stessa combinazione email/password su altri siti (credential stuffing). Usare password uniche per ogni account significa che una singola violazione non può compromettere i tuoi altri account.

Strumenti correlati